Fichiers temporaires ( %temp)

But et fonction

Le dossier Fichiers temporaires, couramment accessible via la variable d’environnement, est un répertoire désigné utilisé par le système d’exploitation Windows et diverses applications pour stocker des données transitoires. Son objectif principal est de stocker les fichiers nécessaires pendant une courte période de fonctionnement, d’installation ou d’une tâche système spécifique d’une application. Cela peut inclure des fichiers cache, des copies temporaires de documents en cours de modification, des journaux d’installation ou des fichiers extraits d’archives compressées.%temp%

Du point de vue du DFIR, le dossier est un lieu crucial pour rechercher des artefacts liés à l’activité récente des utilisateurs. Parce qu’il s’agit d’un emplacement courant et accessible à l’utilisateur, il est fréquemment utilisé par des logiciels légitimes comme malveillants comme un bloc-notes, laissant souvent derrière lui des preuves précieuses.%temp%

Emplacement et structure

Chaque utilisateur sur un système Windows dispose de son propre dossier temporaire, garantissant que les données temporaires d’une application sont isolées à l’utilisateur qui l’exécute.

  • Emplacement: %LOCALAPPDATA%\Temp

    • Cela se résout généralement à : C:\Users\%username%\AppData\Local\Temp

Le dossier lui-même est un répertoire standard contenant un mélange de fichiers et de sous-répertoires créés par de nombreux processus différents. Le contenu peut être vaste et souvent paraître chaotique, nécessitant une analyse ciblée, généralement en triant par « Date de modification » pour se concentrer sur les éléments les plus récents.

Artefacts stockés et valeur médico-légale

Bien que le contenu du dossier soit varié, plusieurs types spécifiques d’artefacts ont une grande valeur médico-légale, notamment dans le contexte de la détection de triche.%temp%

  • Archives extraites : Lorsqu’un utilisateur exécute un exécutable directement depuis une archive compressée (comme un , , ou un fichier) sans l’extraire entièrement d’abord, l’outil d’archivage (par exemple, WinRAR, 7-Zip) extrait souvent temporairement les fichiers nécessaires vers un sous-répertoire nouvellement créé dans . Ces dossiers temporaires peuvent porter des noms comme ou . L’examen du contenu et des horodatages de modification de ces dossiers temporaires peut révéler des programmes récemment exécutés qui ont été exécutés à partir d’archives..zip .rar .7z %temp% Rar$EXa0.123 7zOADF8.tmp

  • Bibliothèques JnativeHook : Certaines applications basées sur Java, en particulier certains autoclickers et outils macro, utilisent une bibliothèque tierce appelée JnativeHook pour interagir avec les entrées globales clavier et souris. Lorsque ces applications sont exécutées, elles déposent souvent un fichier de bibliothèque natif (une DLL) dans le répertoire. Ce fichier suit généralement le motif de nommage . L’horodatage de création de ce fichier DLL correspond directement au moment où l’application Java mère a été exécutée.%temp% JnativeHook-xxxxxxxx.dll

  • Journaux d’application et caches : De nombreuses applications stockent des journaux temporaires, des données de configuration ou des fichiers mis en cache dans ce répertoire. L’analyse de ces paramètres peut fournir un contexte sur l’activité ou les paramètres récents de l’application.

  • Vestiges de lance-détecteurs de logiciels malveillants : Les malwares ou chargeurs de triche utilisent parfois le dossier comme zone de mise en place pour déposer des charges utiles secondaires ou des scripts avant de les exécuter.%temp%

Le principal défi lors de l’analyse du dossier est sa volatilité et le volume énorme de « bruit » provenant des applications légitimes. Cependant, son contenu est directement attribuable à l’utilisateur, et les horodatages des fichiers qu’il contient peuvent fournir des preuves précises d’une activité récente.%temp%

Points de réflexion (Concours SS)

Pour un ScreenSharer, le dossier est un lieu prioritaire pour trouver des preuves d’outils récemment utilisés, en particulier ceux qui ne s’installent pas de façon permanente.%temp%

  • La preuve fumante de JnativeHook : La présence d’un fichier est l’un des indicateurs les plus connus et directs d’un autoclicker basé sur Java. Un SSer peut trier le dossier par date et repérer immédiatement ce fichier. Son heure de création indique le moment exact où la triche a été lancée. Même si le fichier est supprimé, l’événement de suppression peut être trouvé dans le USN Journal.JnativeHook-xxxxxxxx.dll %temp%

  • Course de triche pour démasquer depuis des ZIP : C’est un scénario très courant. Un joueur télécharge une triche dans un fichier et, pour éviter de la laisser sur son bureau, l’exécute directement depuis l’archive. Un SSer peut trouver le dossier d’extraction temporaire dans , qui contiendra l’exécutable de triche lui-même. Le moment de création/modification du dossier indique précisément le moment d’exécution..zip %temp%

  • Un premier aperçu des activités récentes : Il suffit d’ouvrir et de trier par « Date modifiée » est l’un des moyens les plus rapides de se faire une idée de ce qu’un joueur faisait juste avant le partage d’écran. Les dossiers nouvellement créés ou les types de fichiers suspects (, , ) qui apparaissent en haut de la liste sont des cibles immédiates pour enquête.%temp% .exe .dll .jar

  • Trouver des fichiers abandonnés : Si un chargeur de triche était exécuté, il pouvait avoir laissé tomber sa charge utile (la véritable triche) dans . Trouver un exécutable non signé avec une heure de création très récente dans ce dossier est très suspect.%temp%

PrécédentHistorique des commandes PowerShellSuivantConfiguration et persistance du système

Mis à jour